Страница 1 из 1
ipfw: хелп! запутался
Добавлено: 2007-09-25 14:51:56
chuchundra
re1 - смотрит на первого прова
myk1 - на 2 прова
ниже приведённому скрипту интернет работает нормально , переключаюсь на другой канал... руками меняю ifprv1='myk1' на ifprv1='re1' , дальше в rc.conf меняю defaultrouter , natd_interface="re1" , в resolve.conf и named.conf (forwarders) тоже меняю
reboot...
из сервеар пинги доходят до гейта провайдера, а из локалки Request timed out
может гдето что-то забыл подменить?
rc.firewall
Код: Выделить всё
#!/bin/sh
ipfw='/sbin/ipfw'
ournet='10.0.0.0/24'
ifuser='re0'
ifprv1='myk1'
${ipfw} -f flush
${ipfw} add 100 check-state
${ipfw} add 150 allow ip from any to any via lo0
${ipfw} add 200 allow ip from me to any keep-state
${ipfw} add 250 deny ip from not ${ournet} to any via ${ifuser} in
${ipfw} add 300 deny ip from any to not me via ${ifprv1} in
${ipfw} add 450 fwd 127.0.0.1,3128 tcp from ${ournet} to any dst-port 80 in
${ipfw} add 500 divert natd ip from any to any via ${ifprv1}
${ipfw} add 550 allow ip from any to any via ${ifprv1} out
${ipfw} add 600 allow tcp from any to me ssh via ${ifuser}
${ipfw} add 650 allow tcp from any to me 80,443 via ${ifuser}
${ipfw} add 700 allow icmp from any to me
${ipfw} add 750 allow udp from any to me 53 via ${ifuser}
${ipfw} add 800 allow udp from any to me 7723 via ${ifuser}
${ipfw} add 850 deny ip from any to me
${ipfw} add 950 allow ip from any to any via ${ifprv1}
${ipfw} add 41000 allow ip from 10.0.0.9 to any
${ipfw} add 41000 allow ip from any to 10.0.0.9
${ipfw} add 42000 allow ip from 10.0.0.10 to any
${ipfw} add 42000 allow ip from any to 10.0.0.10
${ipfw} add 60000 deny ip from any to any
Re: ipfw: хелп! запутался
Добавлено: 2007-09-25 15:00:03
dikens3
ipfw -ad list
netstat -nr
ifconfig
после смены reboot не стоит делать, можно выполнить /etc/netstart и перезагрузить сетевые настройки.
Re: ipfw: хелп! запутался
Добавлено: 2007-09-25 15:19:23
chuchundra
Код: Выделить всё
[root@server /boot]# ifconfig
myk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=2b<RXCSUM,TXCSUM,VLAN_MTU,JUMBO_MTU>
inet 10.0.1.1 netmask 0xffffff00 broadcast 10.0.1.255
inet 10.0.2.1 netmask 0xffffff00 broadcast 10.0.2.255
inet 10.0.3.1 netmask 0xffffff00 broadcast 10.0.3.255
ether 00:15:f2:d7:67:58
media: Ethernet autoselect
status: no carrier
myk1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=2b<RXCSUM,TXCSUM,VLAN_MTU,JUMBO_MTU>
inet 195.250.79.10 netmask 0xffffffc0 broadcast 195.250.79.63
ether 00:15:f2:d7:64:38
media: Ethernet autoselect (10baseT/UTP <half-duplex>)
status: active
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
inet 10.0.0.1 netmask 0xffffff00 broadcast 10.0.0.255
inet 192.168.100.254 netmask 0xffffff00 broadcast 192.168.100.255
ether 00:17:9a:38:a8:3a
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
re1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
inet 80.81.223.117 netmask 0xffffff00 broadcast 80.81.223.255
inet 192.168.168.254 netmask 0xffffff00 broadcast 192.168.168.255
ether 00:17:9a:38:a9:b3
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
Код: Выделить всё
[root@server /boot]# netstat -nr
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 195.250.79.1 UGS 0 12583 myk1
10/24 link#3 UC 0 0 re0
10.0.0.9 00:50:da:6d:b3:b5 UHLW 1 8047 re0 946
10.0.0.13 00:14:d1:35:2a:0d UHLW 1 44 re0 1161
10.0.0.15 00:14:d1:35:2a:0d UHLW 1 4889 re0 805
10.0.0.18 00:14:d1:35:2a:0d UHLW 1 2113 re0 724
10.0.0.27 00:14:d1:39:e2:cc UHLW 1 2116 re0 823
10.0.0.28 00:14:d1:39:e2:89 UHLW 1 37 re0 1018
10.0.0.34 00:14:d1:35:2a:0d UHLW 1 127 re0 1139
10.0.1/24 link#1 UC 0 0 myk0
10.0.2/24 link#1 UC 0 0 myk0
10.0.3/24 link#1 UC 0 0 myk0
80.81.223/24 link#4 UC 0 0 re1
80.81.223.2 link#4 UHLW 1 42 re1
127.0.0.1 127.0.0.1 UH 0 3440 lo0
192.168.100 link#3 UC 0 0 re0
192.168.168 link#4 UC 0 0 re1
195.250.79/26 link#2 UC 0 0 myk1
195.250.79.1 00:50:50:0d:fa:13 UHLW 2 58 myk1 1197
195.250.79.10 00:15:f2:d7:64:38 UHLW 1 151 lo0
Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#6 UHL lo0
ff01:6::/32 fe80::1%lo0 UC lo0
ff02::%lo0/32 fe80::1%lo0 UC lo0
Код: Выделить всё
[root@server /boot]# ipfw -ad list
00100 0 0 check-state
00150 6900 997806 allow ip from any to any via lo0
00200 34741 12371148 allow ip from me to any keep-state
00250 2028 174584 deny ip from not 10.0.0.0/24 to any via re0 in
00300 3935 336543 deny ip from any to not me via myk1 in
00450 12745 2329261 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any dst-port 80 in
00500 2156 199196 divert 8668 ip from any to any via myk1
00550 0 0 allow ip from any to any via myk1 out
00600 910 76576 allow tcp from any to me dst-port 22 via re0
00650 29 1376 allow tcp from any to me dst-port 80,443 via re0
00700 5 300 allow icmp from any to me
00750 299 19865 allow udp from any to me dst-port 53 via re0
00800 716 31719 allow udp from any to me dst-port 7723 via re0
00850 3 234 deny ip from any to me
00950 0 0 allow ip from any to any via myk1
41000 0 0 allow ip from 10.0.0.12 to any
41000 0 0 allow ip from any to 10.0.0.12
42000 36 3940 allow ip from 10.0.0.13 to any
42000 106 72113 allow ip from any to 10.0.0.13
43000 0 0 allow ip from 10.0.0.14 to any
43000 0 0 allow ip from any to 10.0.0.14
44000 106 5988 allow ip from 10.0.0.15 to any
44000 4633 2387636 allow ip from any to 10.0.0.15
55000 0 0 allow ip from 10.0.0.16 to any
55000 0 0 allow ip from any to 10.0.0.16
52000 259 17009 allow ip from 10.0.0.9 to any
52000 2519 1439373 allow ip from any to 10.0.0.9
60000 18626 2136808 deny ip from any to any
65535 0 0 deny ip from any to any
## Dynamic rules (54):
00200 10 1941 (1s) STATE udp 10.0.0.1 53 <-> 10.0.0.15 49162
00200 0 0 (1s) STATE tcp 10.0.0.1 22 <-> 10.0.0.9 1206
Re: ipfw: хелп! запутался
Добавлено: 2007-09-25 15:26:43
chuchundra
ах да забыл сказать(вернее стыдно было
незнаю чей сервак но открыт), чтобы хоть http работал... но а как же все други порты? ну хоть пинггг
Код: Выделить всё
cat squid.conf | grep 195.250.79.82
cache_peer 195.250.79.82 parent 3128 0
Re: ipfw: хелп! запутался
Добавлено: 2007-09-25 16:17:27
dikens3
Да вроде всё нормально.
60000 18626 2136808 deny log ip from any to any
Добавь log и посмотри /var/log/security что тут убивается.
Код: Выделить всё
00200 34741 12371148 allow ip from me to any keep-state
Может ICMP не попадает под это правило? Попробуй wget
http://www.mail.ru на сервере.
P.S. Судя по статистике у тебя пользователи ходят в инет. :-)
Код: Выделить всё
44000 106 5988 allow ip from 10.0.0.15 to any
44000 4633 2387636 allow ip from any to 10.0.0.15
Re: ipfw: хелп! запутался
Добавлено: 2007-09-25 16:40:51
chuchundra
в /var/log/security про мой IP 10.0.0.9 нечего нету даже с верху где есть deny поставил log
P.S. Судя по статистике у тебя пользователи ходят в инет. <-- это токо http(cache_peer 195.250.79.82 parent 3128 0)
просто незнаю... почему когда переклучаюсь обрато на другой пров все работает
в rc.firewall нечего кроме смены интерфейса не меняю
rc.conf
defaultroute и
natd_interface меняю
и DNS все работает!!!
Re: ipfw: хелп! запутался
Добавлено: 2007-09-25 18:04:51
dikens3
Видимо планеты так совпали.
1. tcpdump на внутреннем интерфейсе и смотреть, приходит ли пинг от 10.0.0.9?
2. Если приходит, то по какому правилу в ipfw он будет принят.
3. tcpdump на внешнем интерфейсе, ушёл ли пинг в инет.
4. По какому правилу(+ nat) в ipfw?